Das Safe Harbor-Urteil des EuGH und seine Folgen

Mit Urteil vom 6. 10. 2015 erklärte der EuGH die Angemessenheitsentscheidung der EU-Kommission 2000/520/EG vom 26. 7. 2000 hinsichtlich der Übermittlung personenbezogener Daten an nach den Safe Harbor-Prinzipien zertifizierte US-Unternehmen für ‘ungültig’. Auf dieses Safe Harbor-Abkommen beriefen sich Unternehmen aus der EU bei einer Datenübermittlung an zertifizierte Stellen in den USA, weil die Einhaltung der Safe Harbor-Grundsätze und die Meldung über die Selbstzertifizierung an die FTC ein angemessenes Schutzniveau garantiere.

Damit ist endgültig Schluss. Schon 2013 prüften Aufsichtsbehörden wegen der anlasslosen Massenüberwachung der US-Nachrichtendienste, ob auf das Safe Harbor-Abkommen gestützte Datenübermittlungen auszusetzen sind. Der LIBE-Ausschuss des EU-Parlaments forderte 2014 die Aussetzung des Abkommens. Nach dem EuGH-Urteil werden es Aufsichtsbehörden bei einer Einzelfallprüfung wohl nicht mehr akzeptieren, dass eine Übermittlung in die USA auf die Safe Harbor-Prinzipien gestützt wird.

In den Medien waren die Reaktionen auf das Urteil gewaltig; von “Sensation” und von einem “Paukenschlag” war die Rede, von einem “Erdbeben für den Geschäftsverkehr”. Dabei setzte das Gericht nur die datenschutzfreundliche Linie nach den Urteilen vom 8. 4. 2014 zur Ungültigkeit der Richtlinie über die Vorratsdatenspeicherung und vom 13. 5. 2015 zum “Recht auf Vergessenwerden” fort.

Das Gericht macht ernst mit dem europäischen Grundrechtsschutz aus Art. 7, 8 und 47 der EU-Grundrechte-Charta (GRCh). Die GRCh, von der bislang schon mal behauptet wurde, ihre Grundrechte stünden nur auf dem Papier, wird mit gravierenden Folgen gelebt.

Der EuGH unterstreicht seine Kompetenz, wie ein Verfassungsgericht die Vereinbarkeit von Rechtsakten und Verträgen der EU-Kommission mit der GRCh zu überprüfen. Hier stellt es über die Beantwortung der eigentlichen Vorlagefrage zur Befugnis der Aufsichtsbehörde hinaus auch fest, dass die Angemessenheitsentscheidung in Bezug auf die Safe Harbor-Prinzipien mit der GRCh und der Datenschutz-RL unvereinbar ist. Dies wird maßgeblich mit dem im Safe Harbor-Abkommen enthaltenen Vorbehalt begründet, der es US-Unternehmen aus Gründen der nationalen Sicherheit, des öffentlichen Interesses oder zur Durchführung von Gesetzen erlaubt, Daten an Dritte ohne Verhältnismäßigkeitsprüfung und Rechtsschutz zu übermitteln und dadurch Geheimdiensten einen schrankenlosen Zugriff einzuräumen.

Auf die Vorlagefrage stärkte der EuGH die Unabhängigkeit der Aufsichtsbehörden, deren Kontrollbefugnisse nach Art. 8 Abs. 3 GRCh von der EU-Kommission nicht eingeschränkt werden dürf-ten. Danach gibt es keine Bindungswirkung von Kommissionsentscheidungen. Angemessenheitsentscheidungen der Kommission werden von den nationalen Aufsichtsbehörden nicht mehr ungeprüft hingenommen werden. Dies gilt sowohl für die Standardvertragsklauseln als auch für die Angemessenheitsentscheidungen in Bezug auf die USA und selbst für Drittländer, in denen es nach der Feststellung der Kommission ein angemessenes Datenschutzniveau gibt.

Unternehmen aus der EU werden sich nach Dienstleistern und Cloud-Lösungen in der EU/EWR umsehen. Dann bedarf es nämlich keiner Zwei-Stufen-Prüfung, bei der neben der Erlaubnis für eine Übermittlung noch die Anforderungen an einen Transfer in ein Drittland ohne angemessenes Datenschutzniveau zu erfüllen sind. Das würde europäische Unternehmen wettbewerbsfähiger machen.

Werden die Übermittlungen an US-Stellen fortgesetzt, sollten ergänzende vertragliche Vereinbarungen mit dem Empfänger über die Einhaltung eines angemessenen Datenschutzniveaus getroffen werden. Einwilligungslösungen werden im Massengeschäft kaum denkbar sein. Binding Corporate Rules aufzustellen, sind aufwändig und nur im Konzernverbund denkbar. Es bleibt, EU-Standardvertragsklauseln zugrunde zu legen.

Nach dem radikalen Positionspapier des ULD vom 14. 10. 2015 wären aber auch die Standardvertragsklauseln und selbst Einwilligungen unwirksam. Damit stünden auf datenschutzkonformes Handeln bedachte Unternehmen in der EU nun vor einem unlösbaren Problem. Wenn die EU-Standardvertragsklauseln wegen des Zugriffs durch US-Geheimdienste ebenfalls nicht zu einem angemessenen Datenschutzniveau beim Empfänger führen sollen, dann würde das nicht nur in Bezug auf die USA gelten müssen. Auch auf EU-Standardvertragsklauseln gestützte Übermittlungen in andere Länder wie China oder Nordkorea wären dann unzulässig, weil auch dort von einer anlasslosen Massenüberwachung auszugehen ist. Dann würden sich die EU-Standardvertragsklauseln letztlich als nutzlose Instrumente erweisen, und jeder Datentransfer in unsichere Drittländer wäre prinzipiell unmöglich. Das würde die Wirtschaft in unerträglicher Weise lähmen. Ergo: die EU-Standardvertragsklauseln müssen als Instrument für eine zulässige Übermittlung anerkannt bleiben.

Die Aufsichtsbehörden und die Kommission müssen schnellstens Wege aufzeigen, wie ein Datenverkehr in die USA rechtssicher und datenschutzkonform möglich ist. EU-Kommissarin Vra Jourová betonte nach Verkündung des Urteils, dass sämtliche weiteren in der Datenschutzrichtlinie vorgesehenen Mittel zur Legitimation von Drittstaatenübermittlungen vom Urteil unberührt blieben. Die Art. 29-Datenschutzgruppe berät noch, wie auf das Urteil reagiert werden soll.

Das Urteil hat den Datenschutz gestärkt, aber Wirtschaft, Gesetzgeber und Aufsichtsbehörden in eine außerordentlich schwierige Lage gebracht – letztlich ausgelöst durch anlasslose Massenüberwachung der USA.

Prof. Dr. Jürgen Taeger, Oldenburg